Blogi

ISO 27001:2022 Mitkä ovat uuden version keskeiset muutokset?

Tietoturva (ISO 27001) ja jatkuvuudenhallinta (ISO 22301) kiinnostavat tällä hetkellä monia organisaatioita ja kokonaisuudet täydentävät hyvin toisiaan. ISO 27000 -standardiperhe on uudistumassa ja marraskuussa 2022 julkaistiin ISO 27001:2022, joka on tietoturvallisuuden hallintajärjestelmän vaatimukset sisältävä uudistettu standardi.

Mielestäni standardien uudistamistyö menee versio versiolta parempaan suuntaan ja vastaa organisaatioiden todellista tarvetta – niin myös tälläkin kertaa.

Katso aiheesta kertova webinaaritallenne alta. Blogi jatkuu tallenteen alapuolelta.

 

Rakennemuutokset ISO 27001:2022 -standardissa – 4 kohtaa muuttui

ISO 27001 -standardin rakenne säilyi suurimmaksi osaksi ennallaan, minkä takia olemassa olevaan tietoturvahallintajärjestelmään uudistuksien lisääminen on suhteellisen suoraviivaista.

ISO 27001 -standardin rakenteessa muuttui neljä kohtaa:

  1. Kohtaan 4.2 Sidosryhmien tarpeiden ja odotusten ymmärtäminen on tehty aiheellinen lisäys. Organisaation tulee osoittaa sidosryhmien vaatimuksien ja tietoturvallisuuden hallintajärjestelmän vastaavuus eli kuinka sidosryhmien ja palveluiden suunnasta ohjataan tietoturvatyötä, jotta se on oikein mitoitettu.
  2. Kohta 6.3 Muutosten suunnittelu on täysin uusi (tällähetkellä ei näy standardin sisällysluettelossa, mutta löytyy sisällöstä). Muutoksenhallinnassa kannattaa huomioida koko muutoksen elinkaari. Lisäksi organisaatioiden on järkevää yhdistää tietoturvaan liittyvä muutoksenhallinta osaksi organisaation olemassa olevaa muutoksenhallintakulttuuria.
  3. Kohtaan 8.1 Toiminnan suunnittelu ja ohjaus on tehty täydennys. Keskeisten tietoturvaprosessien kriteerit tulee tunnistaa ja niiden toteutumista tulee seurataan ja ohjataan.
  4. Kohtaan 9.3.2  Johdon katselmusten lähtötiedot on tehty tarkennus. Viitaten kohtaan aikaisempaan kohtaan Sidosryhmien tarpeiden ja odotusten ymmärtäminen (4.2) on johdon katselmuksien yhdeksi aiheeksi nostettu Tietoturvallisuuden kannalta olennaisten sidosryhmien tarpeet ja odotukset. Näin johdolla pitäisi olla tilannekuva mihin suuntaa tietoturvatyötä kannattaa tulevaisuudessa ohjata ja miten panostukset suunnata.

Hallintakeinomuutokset – suurimmat muutokset näkyvät Liite A:n hallintakeinoissa

Uudistetun ISO 27001 -standardin myötä suurimmat muutokset tulivat Liite A:n hallintakeinoihin.

Aikaisemman 14 eri hallintatavoitealueen tilalle on tullut 4 hallintateemaa:

  1. Organisaatio
  2. Henkilöstö
  3. Fyysinen
  4. Teknologia

Teemoittain tehty jaottelu auttaa rakentamistyössä, kun saman aihepiirin hallintakeinot löytyvät yhtenäisen teeman alta.

Itse hallintakeinojen määrä on puristettu 93 hallintakeinoon, aikaisemman 114 hallintakeinon sijaan.

Mitään ei kuitenkaan ole aikaisemmasta jätetty pois ja itse asiassa täysin uusia hallintakeinoja on 11 kpl. Tämä tarkoittaa, että lukuisia aikaisempia hallintakeinoja on yhdistetty ja siten toteutuksessa on helpompi huomioida tietoturvatoimenpiteiden riittävä elinkaari eli toteutuksen kokonaisuus.

Esimerkki: Aikaisempien hallintakeinojen yhdistyminen yhdeksi kokonaisuudeksi, ISO 27001:2022
Esimerkki: Aikaisempien hallintakeinojen yhdistyminen yhdeksi kokonaisuudeksi, ISO 27001:2022. KLIKKAA KUVA ISOMMAKSI.

 

Ota päivitetty ISO 27001:2022 -standari haltuusi näiden apukysymysten ja elinkaariajattelun avulla

Muutostyö kannattaa aloittaa heti. Muutokset eivät ole suuria vaan näkisin ennemminkin täydentävänä ja aikaisempaa tietoturvatyötä parantavana.

Uusiin hallintakeinoihin kannattaa tutustua esimerkiksi seuraavien kysymyksien kautta pohtien oman organisaation nykytilaa ja tulevaisuutta:

  • Kuinka ymmärrämme hallintatavoitteen tarkoituksen ja sisällön?
  • Miksi ja miten meillä sovelletaan hallintakeinoa?
  • Missä ja kuinka olemme esim. aikaisemmin toteuttaneet hallintakeinon mukaista toimintaa? Miten ylläpidetty ja kehitetty?
  • Kuka omistaa hallintakeinon mukaisen toiminnan? Onko esim. kehitysvastuu ja seurantavastuu eriytetty?
  • Kuinka haluamme/tulemme toteuttamaan hallintakeinon kokonaisuuden (mm. prosessi, käsikirja, ohjeet, mittarit, seurantakanavat, riskit…)
  • Miten ja milloin tulemme toteuttamaan muutoksen tai uuden toimintatavan käyttöönoton? Toimenpidesuunnitelma, GAP-analyysi, koulutukset tms.
Hallintakeinoihin liittyvät peruskysymykset ja elinkaaren huomioiminen, ISO 27001:2022
Hallintakeinoihin liittyvät peruskysymykset ja elinkaaren huomioiminen, ISO 27001:2022. KLIKKAA KUVA ISOMMAKSI.

Tietoturvallisuus on jatkuvasti kehittyvä kokonaisuus – ei irrallinen projekti

Täydellistä tietoturvallisuutta ja kaikkiin toimintaympäristöihin yhteensopivaa valmista ratkaisumallia ei ole, vaan organisaation tietoturvallisuusjärjestelmän riittävä taso tulee rakentaa kokonaisuus ymmärtäen.

Me Arterilla autamme sinua matkalla kohti tietoturvasertifiointia tarjoamalla asiantuntevaa koulutusta sekä apua toimivan ratkaisun rakentamisessa tai olemassa olevan toimintajärjestelmän laajentamisessa. Ohjelmisto riippumattomien Qualitas Fennica -koulutusten lisäksi IMS- ja ARC-ohjelmistomme tukevat järjestelmällistä tietosuoja ja -turvatyötä ja sen ylläpitoa ja kehittämistä nyt ja tulevaisuudessa.

👉Kaipaatko apua ISO 27001 -hallintajärjestelmän kanssa? Voit jättää meille yhteydenottopyynnön tästä. 

Tietoturvallisuuden hallintajärjestelmän menestystekijöitä

  • Tietoturvapolitiikka, tietoturvatavoitteet ja -toimenpiteet ovat linjassa liiketoiminnan tavoitteiden kanssa.
  • Organisaatiolla on yhtenäinen käsitys tietoturvallisuuden merkityksestä.
  • Ylimmän johdon tuki on näkyvää ja jatkuvaa, eri tavoin ilmenevää.
  • Ymmärretään tieto-omaisuuden suojaustarve tietoturvariskien hallinnassa.
  • Viestintä on jatkuvaa ja henkilöstön osaamista ja ennen kaikkea tietoisuutta parannetaan.
  • Tietoturvahäiriöiden hallinta on tuloksekasta ja osaamista ja oppimista edistävää.
  • Mittaaminen ja seuranta vastaa tarpeita ja ohjaa.
  • Kehittyminen on tehty näkyväksi mm. visualisoinnilla.
Suosittelen sinulle näitä sisältöjä:

👉 Näin rakennat tietoturvallisuuden hallintamallin – ISO 27001 | pikaopas
👉 ISO 27001 -standardin 10 keskeistä vaatimusta
| blogi
👉  Tietoturvallisuuden hallintajärjestelmän rakentamisen vaiheet | blogi

Kirjoittaja

Arterin seniortason konsultti Jari Saalilla on lähes 30 vuoden historia eri organisaatioiden toiminnan kehittämisen parista. Hänellä on laaja kokemus ja tietämys johtamisen, toimintajärjestelmien, riskienhallinnan ja jatkuvuuden sekä tiedonhallinnan ja -turvan osa-alueilta. Jari saa usein palautetta siitä, miten hänen rauhallinen ja määrätietoinen tapansa luotsata asiakasprojekteja tarttuu projektiryhmiin: suunnitellut muutokset tulevat tehdyiksi ja ne juurtuvat arkeen.

Liittyvät materiaalit